CIO Insight 調查解析（5）

調查顯示，金融業積極導入零信任架構，這與政策推動和金融上雲趨勢有關。在擁抱數位轉型的同時，金融業更應重視資安防護，並將零信任架構和 FinOps 納入發展策略，才能有效應對日益嚴峻的資安挑戰。

調查／CIO Taiwan‧解析／資策會數轉院金融科技中心

疫情時代可說是推進產業進行數位轉型的加速器，企業組織不僅提高對資通訊與新興科技的投資、導入雲端以及朝向雲端原生進行開發，甚至改變過往的實體營運，轉為線上/居家的遠距辦公模式。

縱使企業邁向數位轉型之路以達到組織創新目標，但在轉型之餘若沒有將資安列入重點項目，將有可能為組織帶來營運風險及隱憂。因為在這波浪潮下，駭客的攻擊手法同樣與時俱進，以更精細的手法包裝惡意程式進行漏洞攻擊與詐騙。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球 CIO 同步獲取精華見解 ]

這也使得國內企業近年來頻繁發生資安事件，在金融業部分，近年金融機構接連發生 SWIFT 系統被駭入、ATM 被植入惡意程式控制取鈔等資安事件。因此金管會於 2017 年成立金融資安資訊分享與分中心（FISAC），提供資安情資預警及聯防機制，協助金融業從事前、事中與事後進行全方位的資安治理。

金融業為駭客首選目標 更需最新資安框架

而為防止金融系統因資安事件中斷，持續提供更安全便利的金融服務，金管會於 2020 年發布的《金融資安行動方案》至今來到 2.0。其中疫情所興起遠距辦公，使員工可透過私有的連網設備或行動裝置進入組織內部網路，儘管執行多因子驗證（MFA）以確認外部裝置是否為內部員工，但若從資安角度來看依舊防不勝防。

且基於私有裝置非屬公司所有，員工個人習慣恐引發潛在風險，造成組織在資安邊界上走向模糊化。因此金管會在方案 2.0 中以產業整體性進行規劃，及防堵遠距辦公所衍生的潛在資安，提倡金融機構導入零信任網路，顯現我國主管機關對資安防範的超前部署。

[熱門精選：ESG 範疇三挑戰將接踵而來 ]

這也驅動零信任（Zero Trust）的概念逐漸受到重視，零信任是以「永不信任；始終驗證」為核心目標，指不預設安全身份或裝置，強調任何環節皆須進行身份驗證。因金融業掌握客戶的機敏資料與其大量資金，較容易成為駭客攻擊的目標，若導入零信任可藉此防範其資安風險。

金融業須強化資安並治理雲端

而根據「CIO insight 調查」，金融業對於導入零信任是本次調查產業中前二積極，僅 1 成 5 目前暫不導入零信任，有意願導入零信任架構則佔半成。此調查不僅反映出金融業呼應政策進行導入，也有部分可能為接下來金融上雲趨勢所故。

在金管會放寬委外上雲規範後，金融業若要上雲的首要考量即是對於資安與雲成本的管控。首先在資安管控方面，雲端委外後代表著金融機構雲端業務將不在內部網域運作，因此既有資安架構不適用雲端環境。另外，系統搬遷的過程也是一大挑戰，地端的加密資料在傳輸過程與上雲後如何妥善保管，皆是組織須重新擬定資安框架的考量，才能建構符合雲端的資安治理。

[完整報告請至官網下載： 2024 CIO Insight 調查報告 ]

此外，組織將因應內部作業流程選擇合宜的雲端環境，從私有、混合及多雲環境來進行雲端部署。從產業端檢視，也可發現我國金融業偏好採用混合或多雲形式。如「國泰金控」以多雲混合雲為核心，陸續搬遷集團 50 多套系統上雲；「中信金控」則強調採用混合雲策略，並先聚焦於私有雲。不論產業端採用何種雲端策略，可預期的是金融機構對雲端的支出將大幅增加，混合與多雲之下恐讓組織更不易管理雲端成本與支出。因此在部署雲端策略時，金融機構應具備 FinOps 的思維，透過 FinOps 得以跨部門團隊型式，不僅僅是針對雲相關費用進行追蹤與管控，同時也為組織在使用雲端時達到可見與治理，才能使組織有效使用雲端。

由此一來，金融機構在面對因外部環境所流行的居家/遠距辦公，以及政策推動的委外上雲趨勢，不妨將零信任的資安架構與 FinOps 納入接下來的發展策略，透過零信任及 FinOps 手段達到對雲端的用與管甚至整體的治理。

(本文授權非營利轉載，請註明出處：CIO Taiwan)